برامج فدية Eldorado تستهدف أنظمة التشغيل Windows وVMware ESXi VMs
ظهرت برامج الفدية كخدمة (RaaS) جديدة تسمى Eldorado، وتأتي مع متغيرات مقفلة لأنظمة VMware ESXi وWindows.
العصابة قد أوقعت بالفعل 16 ضحية، معظمهم في الولايات المتحدة، في قطاعات العقارات، والتعليم، والرعاية الصحية، والتصنيع.
رصد باحثون في شركة الأمن السيبراني Group-IB نشاط Eldorado ولاحظوا أن مشغليه يروجون للخدمة الضارة على منتديات RAMP ويبحثون عن شركاء مؤهلين للانضمام إلى البرنامج.
كما أن Eldorado يدير موقعًا لتسريب البيانات يقوم بعرض قوائم الضحايا، ولكن كان الموقع غير متاح في وقت الكتابة.
الفدية Eldorado تستهدف القطاعات التالية وفقًا لتقرير من Group-IB
Eldorado هو برنامج فدية يعتمد على لغة Go، ويمكنه تشفير منصات Windows و Linux من خلال متغيرات متميزة تتمتع بتشابه تشغيلي شامل.
حصل الباحثون من المطور على برنامج تشفير، والذي جاء مع دليل مستخدم الذي يشير إلى وجود متغيرات 32/64 بت لأنظمة VMware ESXi وWindows.
أعلنت Group-IB أن Eldorado هو تطوير فريد "لا يعتمد على مصادر البناء التي تم نشرها سابقًا."
يستخدم البرنامج الضار خوارزمية ChaCha20 للتشفير ويولد مفتاحًا فريدًا من 32 بايت ورمزًا عشوائيًا nonce مكونًا من 12 بايت لكل من الملفات المشفرة. يتم تشفير المفاتيح والـ nonces بواسطة RSA باستخدام نظام التعبئة الأمثل للتشفير غير المتماثل (Optimal Asymmetric Encryption Padding - OAEP).
بعد مرحلة التشفير، تتم إضافة امتداد ".00000001" إلى الملفات ويتم وضع ملاحظات الفدية بأسماء "HOW_RETURN_YOUR_DATA.TXT" في مجلدات Documents وDesktop.
Eldorado يشفر أيضًا المشاركات في الشبكة باستخدام بروتوكول الاتصال SMB لزيادة تأثيره، ويقوم بحذف نسخ الأقراص (shadow volume copies) على أجهزة Windows المخترقة لمنع استعادة البيانات.
البرنامج الضار يتجاوز ملفات DLLs وLNK وSYS وEXE، بالإضافة إلى الملفات والمجلدات المرتبطة بتشغيل النظام والوظائف الأساسية لمنع جعل النظام غير قابل للتشغيل/الاستخدام.
وأخيرًا، تم ضبطه افتراضيًا للحذف الذاتي لتفادي الكشف والتحليل من قبل فرق الاستجابة.
وفقًا لباحثي Group-IB، الذين تمكنوا من التسلل إلى العملية، يمكن للشركات التابعة تخصيص هجماتها. على سبيل المثال، في نظام Windows يمكنهم تحديد المجلدات التي يرغبون في تشفيرها، تجاوز الملفات المحلية، استهداف المشاركات في الشبكة على الشبكات الفرعية المحددة، ومنع الحذف الذاتي للبرامج الضارة.
أما على نظام Linux، فإن معلمات التخصيص تتوقف عند تعيين المجلدات للتشفير فقط.
تسلط Group-IB الضوء على تهديد فدية البرمجيات الخبيثة Eldorado كعملية جديدة مستقلة، ولم تظهر كإعادة تسمية لمجموعة أخرى.
يوصي الباحثون بالدفاعات التالية، التي يمكن أن تساعد في الحماية ضد جميع هجمات البرمجيات الخبيثة، بشكل مؤقت:
تنفيذ المصادقة متعددة العوامل (multi-factor authentication - MFA) وحلول الوصول إلى بيانات الاعتماد.
استخدام كشف النهاية والاستجابة (Endpoint Detection and Response - EDR) للتعرف بسرعة والاستجابة لمؤشرات فدية البرمجيات الخبيثة.
إجراء نسخ احتياطية للبيانات بانتظام لتقليل الأضرار وفقدان البيانات.
استخدام التحليلات القائمة على الذكاء الاصطناعي واختبار البرمجيات الخبيثة المتقدمة للاكتشاف والاستجابة في الوقت الفعلي لاختراقات الأمان.
الأولوية لتطبيق التصحيحات الأمنية وتطبيقها بشكل دوري لإصلاح الثغرات.
تثقيف وتدريب الموظفين للتعرف على التهديدات الأمنية والإبلاغ عنها.
إجراء تدقيقات فنية سنوية أو تقييمات أمنية والحفاظ على النظافة الرقمية.
تجنب دفع الفدية لأنه نادراً ما يضمن استعادة البيانات ويمكن أن يؤدي إلى المزيد من الهجمات.